インスタンスのカスタム・エンドポイントの構成

カスタム・エンドポイントをOracle Integrationインスタンスにマップし、それを使用して、Oracle Cloud Infrastructureコンソールで生成された元のURLではなくインスタンスにアクセスできます。

選択したドメイン(mycustom.example.orgなど)を使用してOracle Integrationインスタンスのカスタム・ホスト名を作成できます。
ノート

カスタム・エンドポイントをOracle Integrationインスタンスに関連付けると、元のインスタンスURLには影響しません。カスタム・エンドポイントURLおよび元のインスタンスURLを使用してインスタンスにアクセスできます。
Oracle Integrationインスタンスのカスタム・エンドポイントURLを正常に使用するには、次の構成タスクを実行します:
ノート

これらの手順は、Oracle Integrationインスタンスに直接アクセスできることを前提としています。WAFまたはAPIゲートウェイの背後にあるインスタンスを使用している場合は、ここに記載されている(ステップ3以降)証明書関連の指示をスキップし、かわりにWAFまたはAPIゲートウェイの証明書の指示に従ってください。WAF証明書またはAPIゲートウェイ用のカスタム・ドメインおよびTLS証明書の設定を参照してください。
  1. インスタンスのカスタム・ホスト名を選択し、DNSプロバイダに登録します。
  2. ホスト名の認証局(CA)からSSL証明書を取得します。
  3. OCIテナンシで、コンパートメントを選択し、証明書を格納するOCI Vaultを作成します。コンパートメントの操作、Vaultの概要および新しいVaultの作成を参照してください。
  4. 証明書をシークレットとしてOCI Vaultに格納します。「新しいシークレットの作成」を参照してください。次の証明書形式を使用します。
    {
      "key": "-----BEGIN PRIVATE KEY-----\n…..-----END PRIVATE KEY-----\n",
      "cert": "-----BEGIN CERTIFICATE-----\n….-----END CERTIFICATE-----\n",
      "intermediates": [
        "-----BEGIN CERTIFICATE-----\n….-----END CERTIFICATE-----\n",
        "-----BEGIN CERTIFICATE-----\n….-----END CERTIFICATE-----\n"
      ],
      "passphrase": "<private key password if encrypted key is provided>"
    }
    ノート

    • 手動エラーを回避するために、次のawkコマンドを使用して、PEM証明書を"\n"を含む単一行に変換することもできます。

      リーフ証明書の場合:

      awk -v RS= '{gsub(/\n+/, "\\n")}1' <cert_pem_file>

      中間/ルート証明書ごとに、次の手順を実行します。

      awk -v RS= '{gsub(/\n+/, "\\n")}1' <each_intermediate_cert_pem_file>

      秘密キーの場合:

      awk -v RS= '{gsub(/\n+/, "\\n")}1' <private_key_pem_file>
    • シークレットの最新バージョンは、インスタンスの作成またはインスタンスの編集操作でカスタム・エンドポイントをインスタンスに関連付けるときに使用されます。シークレット・バージョンの詳細は、シークレット・バージョンおよびローテーション状態を参照してください。
    • 認証局(CA)がOracle Integrationトラスト・ストアにないホスト名証明書を使用する場合は、Oracle Integrationインスタンスに証明書をアップロードする必要もあります。それ以外の場合は、インスタンスが自身を呼び出すシナリオで例外がスローされます。
    次の証明書要件に注意してください。
    • 証明書に複数のルート/中間証明書がある場合は、各証明書をintermediates配列で個別の要素として指定する必要があります。
    • 最後のルートCAが配列の最後の要素として指定されていることを常に確認してください。たとえば、リーフ証明書の中間証明書が3つある場合、リーフ証明書を発行した証明書はintermediates[0]要素として、intermediates[0]証明書を発行した証明書はintermediates[1]要素に、intermediates[1]証明書を発行した証明書はintermediates[2]要素に配置する必要があります。
    • passphrase属性はオプションで、秘密キーが暗号化されていない場合は指定する必要はありません。
    • 暗号化された秘密キーを使用する場合は、次の形式が必要です(PKCS1がサポートされています)。
      -----BEGIN RSA PRIVATE KEY-----
      Proc-Type: 4,ENCRYPTED
      -----END RSA PRIVATE KEY-----
      

      暗号化された秘密キーを含むJSONファイルは、次のようになります。

      {
        "key": "-----BEGIN RSA PRIVATE KEY-----\nProc-Type: 4,ENCRYPTED\n....\n-----END RSA PRIVATE KEY-----",
      ..
      ..
        "passphrase": "<passphrase to decrypt the key>"
      }
      

      暗号化されていない秘密キーを含むJSONファイルは、次のようになります。

      {
        "key": "-----BEGIN RSA PRIVATE KEY-----\nvRXUK08v31bw2rnDLw+vjuX2i8ujHWs\n....\n-----END RSA PRIVATE KEY-----",
      ..
      ..
      }
      
    • 秘密キーがPKCS8形式の場合は、PKCS1形式に変換する必要があります。
      openssl rsa -in <input_pkcs8_encrypted_private_key> -out <converted_encrypted_private_key_file_name> -aes256
  5. 次の目的でIdentity and Access Management (IAM)ポリシーを作成します。
    • 統合サービスがシークレットのバージョンおよびコンテンツを読み取ることを許可します。
    • カスタム・エンドポイントを使用してOracle Integrationインスタンスを作成または更新するときに、管理グループがシークレットにアクセス(または新規シークレットの作成)できるようにします。
    ポリシー・ステートメントの構文については、シークレットを管理するOCIポリシーおよびCreatePolicy APIリクエストを参照してください。
  6. 統合インスタンスを作成し、カスタム・エンドポイント詳細をそれにマップします。Oracle Integrationインスタンスの作成を参照してください。
  7. 既存のOracle Integrationインスタンスを編集し、カスタム・エンドポイントをそれにマップすることもできます。インスタンスのエディション、ライセンス・タイプ、メッセージ・パックおよびカスタム・エンドポイントの編集を参照してください。
  8. 最後に、カスタム・エンドポイントDNSレコードを元のインスタンス・ホスト名に更新します。ベスト・プラクティスとして、DNSレコードのCNAMEを元のインスタンス・エンドポイントのホスト名で更新します。

構成後の条件付きタスク:

  • サードパーティ・アイデンティティ・プロバイダ(Google、Facebookなど)で3-legged OAuthを使用している場合は、アイデンティティ・プロバイダ(IdP)アプリケーションのカスタム・ホスト名でリダイレクトURLを更新します。Oracle Integrationインスタンスのカスタム・ホスト名がmycustom.example.orgの場合、リダイレクトURLはhttps://mycustom.example.org/icsapis/agent/oauth/callbackのようにする必要があります。

    IdPアプリケーションでリダイレクトURLを更新した後、接続ページで承諾を入力してアクセス・トークンを再取得する必要があります。

  • カスタム・エンドポイントをインスタンスにマップする前に統合フローを作成した場合、WSDLを再生成するには、それらすべての統合を非アクティブ化して再アクティブ化する必要があります。
ノート

Oracle NetSuite Adapterを使用している場合、アダプタのTBA認証フロー・セキュリティ・ポリシーは、Oracle Integrationのカスタム・エンドポイントでは機能しません。